Defans alanında çalışmalar yürüten güvenlik araştırmacılarının önündeki en büyük engellerden birisi test için kurulan sistemlerinin kurulumu ve konfigürasyondaki zorluklardır. Bu kurulumların kimisi tekrar tekrar yapılması gerektiği için bazen bu işlemler içinden çıkılmaz bir hal alır. Bu yazıda uçtan-uca bir güvenlik izleme laboratuvarının kurulacaktır.
Test için kurulan sistemlerinin kurulumu ve konfigürasyondaki zorlukları en aza indirmek için Chris Long tarafından Detection Lab isimli bir proje hazırlanmıştır.
https://github.com/clong/DetectionLab
İlgili proje, tamamen otomatik olarak, biri Linux tabanlı loglama makinesi, diğer üçü yine betik (script) ile kurulan bir Windows Etki Alanı’na (Domain) ait olmak üzere toplamda 4 adet makine kurulumu ve birbirleriyle entegrasyonunu yapıyor. Bu Windows makinelerden birisi DC, diğer bir tanesi WEF (Windows Event Forwarder) ve kalan bir tanesi ise yine aynı etki alanına dahil bir Windows 10 istemci (client/kurban) makinesi olarak görev alıyor. Domain policy ile Sysmon ve PS dahil pek çok loglama konfigürasyonunu da kendisi yaparak WEF üzerinden Splunk Forwarder ile logger makinesine logların iletilmesini sağlıyor. Ve yine osquery ile EDR fonksiyonelitesi sağlanırken bir yandan da Caldera ile Windows ortamlarda saldırı simülasyonu yapmanızı (ve logları Splunk’ta görmenizi) sağlıyor.
Bileşenler
Özetle aşağıdaki sistemleri ve bileşenleri Vagrant ve Packer ile otomatik kurup konfigüre ediyor sistem.
- DC – Windows 2016 Domain Controller (DC sunucu)
- WEF Server Configuration GPO
- Powershell logging GPO
- Enhanced Windows Auditing policy GPO
- Sysmon
- osquery
- Splunk Universal Forwarder (Sysmon & osquery loglarını iletir)
- Sysinternals araçları
- WEF – Windows 2016 Server (Windows event forwarder snucusu)
- Windows Event Collector
- Windows Event Subscription Creation
- Powershell transcription loglama paylaşımı
- Sysmon
- osquery
- Splunk Universal Forwarder (WinEventLog & Powershell & Sysmon & osquery loglarını ileten bileşen)
- Sysinternals araçları
- Win10 – Windows 10 Workstation (Kurban PC)
- Sysmon
- osquery
- Splunk Universal Forwarder (Sysmon & osquery loglarını iletir)
- Sysinternals araçları
- Logger – Ubuntu 16.04
- Splunk Enterprise (Loglama uygulaması)
- Fleet osquery Manager (EDR uygulaması)
- Mitre’s Caldera Server (ATT&CK testleri için)
Kurulum
Kurulum için host makinenizde en az 16GB RAM, 55 GB boş HDD alanı gerekmektedir. Yine işlemcinizin sanallaştırma desteklemesi gerekmektedir.
Öncelikle kurulum yapacağınız ortama göre Vagrant ve Packer uygulamalarını kurmanız gerekiyor.
NOT: Windows 10 host’a -sanallaştırma platformu olarak Virtualbox kullanılarak kurulum yapılacaktır.
- Packer için: https://www.packer.io/downloads.html (Ben v1.1.3 kullandım)
- Vagrant için: https://www.vagrantup.com/docs/installation/ (Ben v2.0.1 kullandım)
- Virtualbox: http://www.virtualbox.org
İlgili uygulamalar kurulduktan sonra yapılması gereken;
Öncelikle https://github.com/clong/DetectionLab adresinden zip’li olarak dosyaları indirerek dizinimize açıyoruz. İlgili dizinde komut satırı açarak;
cd detectionlab/Packer
packer.exe build –only=virtualbox-iso windows_10.json
packer.exe build –only=virtualbox-iso windows_2016.json
komutlarını sırasıyla çalıştırdıktan sonra oluşan .box uzantılı windows2016 ve windows10 dosyalarını ../Boxes dizinine taşıyoruz.
Sonrasında ../Vagrant klasörüne giderek;
vagrant.exe plugin install vagrant-reload
ve
vagrant.exe up
komutlarını çalıştırıyuruz.
Bu işlemle -bağlantı hızınıza göre değişkenlik gösterebilmekle beraber- yaklaşık 2 saati bulan bir kurulum süreci başlayacaktır.
Bu işlem tamamlandığında alttaki gibi 4 adet makine kurulumu gerçekleştirilecektir.
Kullanım/Arayüzler



Splunk index isimleri;
- osquery
- osquery-status
- powershell
- sysmon
- wineventlog



Sanal makineleri beklemeye almak için;
vagrant.exe suspend
yeniden başlatmak için
vagrant.exe resume
komutlarını kullanabilirsiniz
Sistemlere ait erişim bilgileri
- Domain Name: windomain.local
- Admininstrator login: vagrant:vagrant
- Fleet login: https://192.168.38.5:8412 – admin:admin123#
- Splunk login: https://192.168.38.5:8000 – admin:changeme
- Caldera login: https://192.168.38.5:8888 – admin:caldera
Kaynak:
https://www.furkancaliskan.com/detection-lab/
https://medium.com/@clong/introducing-detection-lab-61db34bed6ae